.png)
Il gruppo cyber filorusso Legion ha lanciato un nuovo attacco ddos a una serie di siti istituzionali italiani, tra cui ministero dei Beni culturali, degli Esteri e Consiglio superiore della magistratura. In altri casi gli obiettivi indicati in una comunicazione Telegram da parte della gang, che da qualche settimana si è resa responsabile di attacchi ddos all’Italia diretti verso siti istituzionali, risultano accessibili. Il messaggio di lancio dell’operazione è delle 23.54 del 19 maggio. In taluni casi i componenti di cyber hanno indicato anche obiettivi imprecisi: come l’indirizzo minambiente.it, dell'ex ministero dell'Ambiente, nel frattempo è stato sostituito dal nuovo sito del ministero della Transizione ecologica (a cui quell'indirizzo rimanda), peraltro già oggetto di minacce informatiche all’inizio di aprile.
Alle 9.50 del 20 maggio il sito della Polizia di Stato, già oggetto di un attacco ddos dei giorni scorsi, risulta accessibile. Anche quello del Senato, irraggiungibile per un periodo di tempo come dimostra lo screenshot pubblicato dal ricercatore Claudio Sono su Twitter. Quella di Legion sembra un'operazione che prova a sparare nel mucchio. Nell'elenco degli obiettivi si va dai siti di grandi aziende, come Eni, Tim e WindTre (tutti regolarmente funzionanti) a quelli di Corte dei conti, ministero dell'Interno, Senato (già colpito in un primo attacco), Agenzia delle Dogane, ministero della Difesa (anch'essi operativi) o all'associazione di categoria Federtrasporto. Tra i target del messaggio di Legion che, stando alle ricognizioni di Wired, hanno subito più pesantemente il down, vi sono il sito del ministero degli Esteri, il Consiglio superiore della magistratura e dell'Accademia delle scienze, società scientifica veronese. Il ministero dei Beni culturali risulta tornato online dalle 10.30 e l'Autorità per la regolazione di energia, reti e ambiente (Arera) dalle 12.
Nel pomeriggio del 20 maggio Legion ha preso di mira i siti di alcuni aeroporti: Linate e Malpensa a Milano, Bergamo, Rimini, Genova e Olbia. Indicato ancora anche il ministero della Difesa e l'agenzia coreana che rivende i biglietti di Trenitalia, forse un errore del gruppo che voleva in realtà aggredire il gruppo ferroviario italiano.
Contro i siti delle istituzioni italiane la cellula ha scatenato un attacco ddos (distributed denial of service), che sovraccarica un sito di richieste fino a mandarlo ko. Per quanto semplici da realizzare, inoltre, gli attacchi Ddos non vanno sottovalutati. All'inizio della guerra Silas Cutler, principal reverse engineer di Stairwell, scriveva che i ddos che si sono verificando a ripetizione in Ucraina possono essere considerati a tutti gli effetti attacchi cyber, “per via delle circostanze sotto cui avvengono”. Per esempio, “colpire il settore bancario dell'Ucraina può essere visto come uno sforzo per minare la fiducia dei cittadini nel loro governo e nelle banche, elementi basilari della vita di tutti i giorni”. Ad aprile un'analisi degli esperti di F5, società di servizi cloud, evidenziava che questi attacchi “stanno acquistando dimensioni sempre maggiori e crescono in complessità”.
A dirigere l'operazione è Legion. Il canale Telegram con cui recluta volontari e lancia le missioni risulta aperto il 28 aprile. I messaggi sono in russo e Legion si identifica esplicitamente come un gruppo russo. Nel primo avviso di missione l'invito è a prendere di mira il sito della Nato. Una missione che Legion rilancia più volte, specificando domini e sottodomini dell'Alleanza atlantica da attaccare. In un messaggio il gruppo fa riferimento ai collegamenti con Killnet, altra cellula cyber di recente comparsa sulla scena e a sua volta legata ad ambienti vicino alla Russia.
Tra gli obiettivi c'è stato anche il sistema di voto dell'Eurovision. A Italian Tech Corrado Giustozzi, decano italiano della cybersecurity e ingaggiato dalla Rai per proteggere il televoto del festival, ha detto che “si è trattato sempre di attacchi piuttosto blandi. Mai critici”. E ha aggiunto che Killnet, la cellula cyber che lavora con Legion, gli appare "un'organizzazione abbastanza lasca. È sicuramente autonoma. E credo di poter dire con altrettanta certezza che non è il braccio armato cyber del Cremlino", perché altrimenti "avrebbero agito in maniera diversa. E colpito in un altro modo". Per Giustozzi stiamo assistendo ad “attacchi di rumore. Di propaganda”. In uno dei suoi ultimi bollettini, il Computer security incident response team (Csirt) italiano ha segnalato alcune misure di prevenzione e mitigazione contro questi attacchi.
